Manuel Statik Analiz — Gozi/ISFB | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 54663fd1d1312b202097979b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | 36599208287637_182387937827.vbs |
| Boyut | 2.097.979 byte (2MB VBScript) |
| String Sayisi | 1 (yoğun VBScript obfuskasyon) |
Çift Sayısal VBS Adlandırma
36599208287637_182387937827.vbs -- İki 14 ve 12 haneli sayı alt çizgi ile ayrılmış -- Muhtemel anlamlar: - Telefon numaraları (0365 992 082 876 37) - UNIX timestamp çifti (doğrulama token) - Sipariş/belge ID çifti (kurban takibi) -- 2MB VBScript: büyük obfuskated loader -- Tek string! = VBScript içeriği yorumlanmıyor (binary değil)
ZatWDYVMlX Array Obfuskasyonu
Obfuskasyon: Sembol dizisi ile VBScript gizleme!
ZatWDYVMlX=array(r5,G2,E1,R9,X,x2,x2,X2,c4,X2,W5,K3,t1,o,l9,s2,T9,T8,I5,a3,p6,X2,R4,m... -- "ZatWDYVMlX" = rastgele değişken adı -- "array(r5,G2,E1,R9...)" = her element başka bir obfuskated değişken -- r5, G2, E1, R9 = harici değişkenlere referans (0-255 arası integer olarak tanımlanmış) -- Gozi VBS: tüm payload bu değişken şifreli dizi ile temsil ediliyor -- Çözme: tüm değişkenler tanımlandıktan sonra array → binary → execute -- 2MB dosya boyutu = çözme kodu + şifreli Gozi loader payload
Gozi/ISFB Hakkında
Gozi (ISFB) 2006'dan beri aktif bankacılık trojanı. Türevi/varyantları: Ursnif (2013), GozNym (2016), MAN1 (2019). VBScript dropper phase: kurumsal e-posta ile dağıtım, makro veya VBS attachment.
IOC
| SHA256 | 54663fd1d1312b202097979b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | 36599208287637_182387937827.vbs (çift sayısal VBS) |
Gozi2 — Malware Profile
Gozi ISFB banking trojan VBScript dropper. ZatWDYVMlX array obfuskasyon. Double numeric VBS filename. 2006dan beri aktif Ursnif GozNym turevi.
Malware Type
Backdoor
Programming Language
VBScript
C2 Protocol
HTTPS
Target Systems
Küresel/Bankacılık
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — Gozi2
# SHA256
54663fd1d1312b202097979b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 54663fd1d1312b202097979b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |